VMware は 29 月 XNUMX 日に、VMware の vSphere 仮想化テクノロジの顧客向けに緊急の新しい緩和策とガイダンスを発行しました。これは、Mandiant が、厄介な新しい手法を使用して複数の永続的なバックドアを ESXi ハイパーバイザーにインストールする中国ベースの攻撃者を検出したことを報告したためです。
Mandiant が観察した手法には、UNC3886 として追跡されている攻撃者が関与しており、悪意のある vSphere インストール バンドル (VIB) を使用してマルウェアをターゲット システムに忍び込ませていました。 そのために、攻撃者は ESXi ハイパーバイザーに対する管理者レベルの権限を必要としました。 しかし、VMware の製品の脆弱性を悪用してマルウェアを展開する必要があるという証拠はなかった、と Mandiant は述べた。
幅広い悪意のある機能
バックドア Mandiant は VIRTUALPITA と VIRTUALPIE を吹き替えました、攻撃者がさまざまな悪意のある活動を実行できるようにします。 これには、ESXi ハイパーバイザーへの永続的な管理者アクセスの維持が含まれます。 ハイパーバイザー経由でゲスト VM に悪意のあるコマンドを送信する。 ESXi ハイパーバイザーとゲスト マシンの間でファイルを転送する。 ロギング サービスの改ざん。 同じハイパーバイザー上の VM ゲスト間で任意のコマンドを実行する。
Mandiant のセキュリティ コンサルタントである Alex Marvi は、次のように述べています。 「Mandiant が確認したバックドアである VIRTUALPITA と VIRTUALPIE により、攻撃者はハイパーバイザー自体にインタラクティブにアクセスできます。 攻撃者はホストからゲストにコマンドを渡すことができます。」
Marvi 氏によると、Mandiant は、実行するコマンドと実行するゲスト マシンを指定する別の Python スクリプトを観察しました。
Mandiant は、攻撃者がこの方法で ESXi ハイパーバイザーを侵害することに成功した組織は 10 に満たないことを認識していると述べました。 しかし、より多くのインシデントが表面化することを期待して、セキュリティ ベンダーはレポートで次のように警告しています。この調査で概説された情報を基に、同様の機能の構築を開始してください。」
VMware は VIB を「ファイルのコレクション 配布を容易にするために単一のアーカイブにパッケージ化されています。」 これらは、管理者が仮想システムを管理し、環境全体にカスタム バイナリと更新を配布し、ESXi システムの再起動時にスタートアップ タスクとカスタム ファイアウォール ルールを作成できるように設計されています。
トリッキーな新戦術
VMware は、VIB に対して XNUMX つのいわゆる許容レベルを指定しています。 承認された VMware パートナーによって作成および署名された VMwareAccepted VIB。 信頼できる VMware パートナーが提供する PartnerSupported VIB。 VMware パートナー プログラム外の個人またはパートナーによって作成された CommunitySupported VIB。 CommunitySupported VIB は、VMware またはパートナーによってテストまたはサポートされていません。
Mandiant 氏によると、ESXi イメージが作成されると、これらの許容レベルのいずれかが割り当てられます。 「イメージに追加されるすべての VIB は、同じ許容レベル以上である必要があります」と、セキュリティ ベンダーは述べています。 「これにより、ESXi イメージを作成および維持するときに、サポートされていない VIB がサポートされている VIB と混在しないようにすることができます。」
VIB に対する VMware のデフォルトの最小許容レベルは PartnerSupported です。 しかし、管理者はレベルを手動で変更し、VIB をインストールする際に最低許容レベル要件を無視するようにプロファイルを強制することができる、と Mandiant 氏は述べた。
Mandiant が観察したインシデントでは、攻撃者はこの事実を利用して、最初に CommunitySupport レベルの VIB を作成し、次にその記述子ファイルを変更して VIB が PartnerSupported であるかのように見せかけたようです。 次に、VIB の使用に関連付けられたいわゆる強制フラグ パラメータを使用して、悪意のある VIB をターゲットの ESXi ハイパーバイザーにインストールしました。 Marvi は、管理者が最小 VIB 受け入れ要件をオーバーライドする方法を提供することを考慮して、force パラメータを弱点と見なすべきかどうかを尋ねられたとき、Dark Reading を VMware に指摘しました。
運用セキュリティの失効?
VMware の広報担当者は、この問題が弱点であることを否定しました。 同社は、この強制コマンドを無効にするセキュア ブートを推奨していると彼女は言います。 「攻撃者は強制コマンドを実行するために ESXi への完全なアクセス権を持っている必要があり、このコマンドを無効にするにはセキュア ブートの XNUMX 番目のセキュリティ レイヤーが必要です」と彼女は言います。
彼女はまた、VIB がいつ改ざんされた可能性があるかを組織が特定できるようにするメカニズムが利用可能であると述べています。 VMWare が Mandiant のレポートと同時に公開したブログ投稿で、VMware は攻撃を次のように特定しました。 おそらく運用上のセキュリティの弱点の結果 被害者団体側。 同社は、組織が VIB の誤用やその他の脅威から保護するために環境を構成できる具体的な方法を概説しました。
VMware は、組織がセキュア ブート、Trusted Platform Module、および Host Attestation を実装して、ソフトウェア ドライバおよびその他のコンポーネントを検証することをお勧めします。 「セキュア ブートを有効にすると、『CommunitySupported』許容レベルの使用がブロックされ、攻撃者が未署名または不適切に署名された VIB をインストールするのを防ぐことができます (レポートに記載されているように、-force パラメーターを使用しても)」と VMware は述べています。
同社はまた、組織は堅牢なパッチ適用とライフサイクル管理プラクティスを実装し、VMware Carbon Black Endpoint や VMware NSX スイートなどのテクノロジーを使用してワークロードを強化する必要があるとも述べています。
Mandiant はまた、29 月 XNUMX 日に別の XNUMX 番目のブログ投稿を公開しました。 組織が脅威を検出する方法 彼らが観察したもののように、それらに対してESXi環境を強化する方法. 防御策には、ネットワークの分離、強力な ID とアクセス管理、および適切なサービス管理プラクティスがあります。
Vulcan Cyber のシニア テクニカル エンジニアである Mike Parkin 氏は、この攻撃は、攻撃者が持続性を維持し、標的の環境での存在を拡大するための非常に興味深い手法を示していると述べています。 「これは、一般的な犯罪APTグループが展開するものよりも、十分なリソースを備えた国家または国家が支援する脅威が使用するもののように見えます」と彼は言います.
Parkin 氏は、VMware のテクノロジは、同社が推奨する構成と業界のベスト プラクティスを使用して展開すると、非常に堅牢で回復力があると述べています。 「しかし、攻撃者が管理者の資格情報でログインしている場合、事態はさらに困難になります。 攻撃者として、ルートを取得できれば、いわば王国への鍵を手に入れることができます.
